Servicepipe: ботнет C0XMO захватывает прошитые роутеры и вычищает c них другое ВПО

Россиян, использующих модифицированные Wi-Fi-роутеры для расширения сетевых возможностей и работы VPN, предупредили о риске заражения новым ботнетом C0XMO. Об угрозе "Газете.Ru" рассказал заместитель генерального директора Servicepipe Даниил Щербаков.

"На рынке появился новый ботнет C0XMO, который привлекает внимание своей необычной моделью поведения. Его можно сравнить с кукушонком: попав в систему, он фактически "выбрасывает" всех остальных. C0XMO не просто закрепляется на устройстве, а активно вычищает конкурентов – удаляет другие малвари", – отметил Щербаков.

Эксперт пояснил, что ботнет эксплуатирует уязвимость CVE-2021-27137 в популярных кастомных прошивках DD-WRT и способен заражать устройства без аутентификации. Под угрозой находятся маршрутизаторы, точки доступа, видеорегистраторы, Android-устройства и другое оборудование на различных аппаратных платформах.

По словам Щербакова, злоумышленники делают ставку не на новые уязвимости, а на давно известные проблемы безопасности, которые остаются неисправленными на старых устройствах. Особенно уязвимыми оказываются роутеры с кастомными прошивками, которые часто используются для реализации VPN, сегментации трафика и продления срока службы устаревшего оборудования.

"С практической точки зрения вывод здесь простой: основной риск сегодня создают не новые атаки, а отсутствие базовой гигиены. Если устройство не обновляется, не мониторится и продолжает работать в сети, оно с высокой вероятностью станет частью ботнета", – подчеркнул специалист.

В Servicepipe отметили, что в зоне риска находятся как технически продвинутые пользователи, так и компании, использующие перепрошитые устройства в небольших офисах, на складах, в переговорных комнатах или домашних сетях. По словам эксперта, проблема заключается не в самой технологии DD-WRT, а в том, что такие устройства со временем выпадают из процессов контроля и обновления, оставаясь подключенными к сети.